隨著信息與通信技術(ICT)的快速發展及深入應用,各行業對ICT產品及服務的依賴加重。ICT產品服務全球化進程推動形成了ICT供應鏈全球化格局,基于ICT供應鏈全球化及復雜性特征,ICT供應鏈安全管控越來越難。
我國從政策法規標準等方面制定了一系列的要求,但從目前對國內從事ICT產品制造等企業能力評估情況來看,在供應鏈安全風險管理方面還比較薄弱。
一、供應鏈與ICT安全風險的概念
ISO 28000:2007《供應鏈安全管理體系規范》標準中將“供應鏈”定義為從原材料采購開始直到通過各種運輸模式將產品或服務傳遞給最終使用者的一系列過程和資源構成的網絡。
標準提出需要組織對其供應鏈安全管理過程的要素進行識別和評估,并確認是否采取了足夠的安全措施以及是否遵守法律法規和其他要求。
對利益相關方來說,一個完整且安全的供應鏈管理體系,應確保供應鏈內上下游不同服務提供商做事方法的一致性,并且應全面進行安全風險識別和評價,以有效控制和降低供應鏈存在的安全隱患和影響等。
美國國家標準技術研究院(NIST)在2022年發布的SP 800-161r1《系統和組織網絡安全供應鏈風險管理實踐》報告的修訂版中指出,網絡安全供應鏈風險管理(C-SCRM)是一個系統過程,用于管理整個供應鏈中的網絡安全風險、威脅和漏洞,并制定供應商及其所提供產品、服務和供應鏈提出的適當響應策略。報告為在各個維度識別、管理和應對供應鏈的網絡安全風險提供了實踐指導,對于提升網絡安全供應鏈風險管理能力具有重要意義。
二、ICT供應鏈視角下的安全風險管理體系
目前,國際供應鏈安全標準已漸成體系,而國內供應鏈安全要求大多分散在多個標準中。
GB/T 36637-2018作為我國第一個ICT供應鏈安全國家標準,標志著我國供應鏈安全標準正在起步。該標準參考了包括ISO 28000系列、ISO/IEC 27000系列、NIST SP 800-161、GB/T 20984、GB/T 22080、GB/T 22081、GB/T 31509、GB/Z 24364等多份標準文獻,從ICT供應鏈視角出發,形成安全風險管理的指南,規定了ICT供應鏈安全風險管理過程和控制措施。ICT供應鏈組織可以依據GB/T 36637-2018標準建立風險管理體系和實施控制措施,結合相關標準來構建安全風險管理體系并實現安全風險管控。
(一)GB/T 36637適用范圍和ICT供應鏈定義
標準適用于重要信息系統和關鍵信息基礎設施的ICT供方和運營者對ICT供應鏈進行安全風險管理,也適用于指導ICT產品和服務的供方和需方加強供應鏈安全管理,同時還可供第三方測評機構對ICT供應鏈進行安全風險評估時參考。
標準術語中將ICT供應鏈定義為ICT產品和服務的供應鏈,是指為滿足供應關系,通過資源和過程將需方、供方相互鏈接的網鏈結構,可用于將ICT的產品和服務提供給需方。在標準附錄A中對ICT供應鏈結構做了進一步說明(如圖1)。
(二)基于GB/T 36637構建ICT供應鏈安全風險管理體系
GB/T 36637-2018標準主要對風險管理過程和實施控制措施情況進行了規定,但要建立管理體系還應引入管理體系通用的方法,首先建立管理機構,然后定目標、建過程、落實、監督檢查并持續改進有效性。
1.確定管理機構及職責
在組織內識別并確定ICT供應鏈安全風險管理的管理機構及其職責,并配備相應資源等。
2.明確ICT供應鏈安全風險管理重點目標
ICT供應鏈是一個全球分布的,具有供應商多樣性、產品服務復雜性、全生命周期覆蓋性等多維特點的復雜系統。相比傳統供應鏈,ICT供應鏈面臨更多的安全風險,宜加強風險管理。其重點實現目標包括完整性、保密性、可用性、可控性。
另外,建議組織結合自身實際情況,對于經濟性、綠色供應鏈、穩定供應鏈等做適當考慮。
2.建立ICT供應鏈安全風險管理過程
ICT供應鏈安全風險管理過程由背景分析、風險評估、風險處置、風險監督和檢查、風險溝通和記錄等5個步驟組成(見圖2)。組織宜按照GB/T 31722-2015的規定建立ICT供應鏈風險管理過程,也可將ICT供應鏈安全風險管理分散到對ICT供應鏈生命周期各環節、ICT供應鏈基礎設施、外部供應商的風險管理活動中。
供應鏈安全風險管理是指導和控制組織與供應鏈安全風險相關問題的協調活動。ICT供應鏈安全風險管理是組織整體風險管理的組成部分,組織在做背景分析時宜結合實際情況建立ICT供應鏈安全風險管理的背景,包括基本準則、范圍邊界和風險約束等。
組織在進行背景分析后可開展風險評估,評估活動包括風險識別、風險分析和風險評價。風險評估可多次迭代直至結果滿足要求,建議組織宜至少每年進行一次供應鏈安全風險評估工作,并保留有關安全風險評估過程的文件化信息。
供應鏈安全風險是供應鏈安全威脅利用供應鏈管理中存在的脆弱性導致供應鏈安全事件的可能性,及其由此對組織造成的影響。基于此,風險識別包括資產識別、威脅識別和脆弱性識別。
資產識別指識別ITC供應鏈的關鍵資產。此類資產對組織的業務功能有直接影響,一旦被禁用或受損,可能導致組織的產品和服務失效或質量下降。
威脅識別包括威脅來源和威脅類型兩個方面的識別。其中威脅來源從環境因素、供應鏈攻擊、人為錯誤等3個維度識別,威脅類型從惡意篡改、假冒偽劣、供應中斷、信息泄露、違規操作、其他威脅等6個維度識別。
脆弱性是資產本身的特性,僅在被威脅利用時會產生危害。因此,脆弱性識別應圍繞ICT供應鏈關鍵資產展開,識別可能被威脅利用的脆弱性,例如能使攻擊者獲得供應鏈敏感信息、植入惡意組件、出發系統運行故障、組件脆弱性等。ICT供應鏈脆弱性包括產品和服務在其生命周期內的脆弱性,也包括ICT供應鏈基礎設施的脆弱性。
供應鏈生命周期的脆弱性包括了開發階段脆弱性、供應階段脆弱性和運維階段脆弱性。而供應鏈基礎設施的脆弱性包括了供應鏈管理脆弱性、供應鏈信息系統脆弱性、ICT上下游脆弱性、供應鏈物理安全脆弱性。識別脆弱性來源非常重要。缺乏供應鏈安全管理頂層設計是涉及整個全生命周期的脆弱性來源,包括缺乏供應鏈安全管理制度和流程,未明確供應商、外包商、制造商、經銷商、員工等供應鏈合作方、參與者等的安全要求,未建立數據安全管理制度和流程,防壟斷、可替代能力不足等。因此,組織要充分做好供應鏈安全管理頂層設計。
針對ICT供應鏈內部脆弱性和外部威脅的識別,要結合供應鏈安全的特點,從全生命周期的角度厘清來源,結合供應鏈生命周期各個階段的外部安全威脅和內部脆弱性識別。
接下來,從可能性、后果、風險估算等幾方面分析風險,然后根據風險分析估算結果、評價準則和接受準則比較等進行風險評價,再根據評估結果選擇風險處置策略。而在風險管理整個過程的中,都要設置監督和檢查點并及時溝通和記錄相關信息。
3.實施控制措施
組織可以根據自身特點(如組織類型、戰略、業務目標、客戶需求、組織架構和流程、安全策略和安全風險承受能力等)和識別的安全風險,選擇、定制和實施供應鏈安全措施,包括技術安全措施和管理安全措施。
其中,技術安全措施包括物理與環境安全、系統與通信安全、訪問控制、標識與鑒別、供應鏈完整性保護、可追溯性等。管理安全措施包括制度和人員管理、供應鏈生命周期管理、采購外包與供應商管理等。
4.持續管理和迭代
通常情況下,安全風險管理也需要多次迭代直至結果滿足要求。建議組織將ICT供應鏈安全風險管理工作流程納入組織常設的管理架構及工作流程中,以利于做到持續管理和迭代,并保留有關安全風險管理過程的相關文件和記錄等。
三、與組織已有管理體系融合的思考
ICT供應鏈安全風險管理是組織整體風險管理的組成部分,組織在建立ICT供應鏈安全風險管理體系之初,應充分考慮組織已有管理體系建設情況,把供應鏈安全管理與企業已有管理體系相融合,首先是管理體系架構的融合和協調,其次是運行實施過程的融合和協調。只有堅持體系化運行,進行全面的供應鏈安全風險識別和系統的供應鏈安全評估,積極應對供應鏈安全風險和挑戰,才有可能持續提升供應鏈韌性和安全水平。
組織在與已有管理體系融合的過程中,也可考慮借鑒NIST SP 800-161 r1《系統和組織網絡安全供應鏈風險管理實踐》報告中提出的由三層管理框架整合企業所有安全風險管理,即由企業層面、業務層面和操作層面無縫配合和有效溝通,共同解決安全風險(如圖3示)。
首先是在企業層面,制定企業網絡安全供應鏈風險管理頂層戰略、實施計劃,明確治理結構和操作模式,為如何管理風險制定原則,并指導下一層級執行風險管理,其參與者通常為企業的高層領導。
其次是在業務層面,在企業的頂層設計下,根據業務具體情況制定業務層級的網絡供應鏈風險管理(C-SCRM)戰略、政策和實施計劃,減少新項目的初始漏洞,審查評估業務面臨的威脅,管理業務層級的風險,向上一層級報告相關情況,并指導下一層級執行風險管理,其參與者通常為負責項目規劃和管理的中層領導。
最后是在操作層面,根據業務層級制定的戰略、計劃,實施C-SCRM計劃,確保業務、功能和技術滿足第1層、第2層級制定的要求,其參與者通常為系統架構師、開發人員等具體操作人員。
同時,可考慮運用多種信息化管理手段,建立一套敏捷、高效的供應鏈安全保障體系,并研究建設一整套科學的供應鏈安全風險量化指標體系,以全面提升企業供應鏈安全保障數字化管理水平。
結語
隨著大國博弈日益激烈,先進技術產業競爭態勢加劇,供應鏈安全已上升至國家安全戰略,有效規范和保護ICT供應鏈安全已成為網絡相關安全的重中之重。本文在分析供應鏈與ICT安全風險的關系的基礎上,提出基于GB/T 36637的ICT供應鏈視角的安全風險管理體系構建以及與組織現有管理體系融合的思考,為ICT供應鏈企業更好地開展ICT供應鏈安全風險管理提供了思路,同時也為深入研究ICT供應鏈安全管理及評估技術提供了依據。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
